Author Topic: Utilizadores a fazerem-se passar por outros servidor de email Zentyal  (Read 3230 times)

imortalis

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +1/-0
    • View Profile
Bom dia,

Tenho servidor zentyal 6.1 numa escola e está a funcionar como DC e servidor de email. Os alunos descobriram que se forem ao Web Mail SOGo - definiçoes - Email - contas imap - conseguem alterar o email a fazerem-se passar por outros e até mudam o email para outro nome qualquer que o email sai na mesma. Isto é muito grave. Também já reparei que se configurarem um cliente de email, no nome e no email colocam o que quiserem , só no nome de login e password é que colocam os dados da conta imap e os emails saiem com o nome do email que escolheram. Não há forma para bloquear este tipo de atividades ?


doncamilo

  • Zen Samurai
  • ****
  • Posts: 478
  • Karma: +165/-1
    • View Profile
Re: Utilizadores a fazerem-se passar por outros servidor de email Zentyal
« Reply #1 on: April 17, 2020, 09:32:35 pm »
 :)

Se a senha da sua conta de administrador tiver sido vazada para os alunos, a situação é muito grave. Pense nas contas de administrador do Zentyal como pertencendo ao grupo 'sudo'. Ou seja, com essas credenciais, eles têm acesso não apenas ao Zentyal, mas ao servidor Ubuntu como um todo.

Sem conhecer a idade de seus alunos e sem ter uma idéia de suas habilidades, é muito difícil fazer uma avaliação de danos. Em princípio, você deve pensar em remover o servidor da rede e configurar um servidor de emergência.

A maneira como você age depende da importância das informações que seu servidor continha e do grau de proteção concedido a esses tipos de informações em seu país. Por exemplo, se houver dados confidenciais sobre alunos, professores etc. (relatórios psicológicos, documentação relacionada a menores sob a supervisão da administração etc.), recomendo que você desligue o servidor sem alterar seu estado atual, registre a reclamação correspondente junto às autoridades e permita seus especialistas forenses lidam com isso.

Se essa solução não lhe parecer possível (você deve avaliar até que ponto você pode ser o responsável pelo desastre ou simplesmente não possuir outra equipe para prestar um serviço essencial). Recomendo que você use um especialista forense.

Com relação à maneira de proceder para evitar esse tipo de situação, a precaução mais imediata é não permitir o acesso ao administrador da web a partir de interfaces públicas ou de interfaces internas pelas quais os usuários acessam serviços. Você pode fazer isso facilmente configurando corretamente o firewall.

Para não perder a capacidade de gerenciar o servidor remotamente, recomendo configurar uma VPN para esse fim. O SSH é outra maneira segura de obter acesso remoto (você também pode configurar o servidor para usar exclusivamente certificados digitais como autenticação. Assim, mesmo com um nome de usuário e senha válidos, o invasor não poderá acessar)

Proteja fisicamente o servidor e o hardware de rede. Pessoal não autorizado nunca deve ter acesso a ele. Observe que ter acesso físico à máquina, alterar a senha do administrador é uma tarefa trivial.

Use senhas fortes para seu administrador e altere-as com frequência (mensalmente, por exemplo). Não armazene senhas no mesmo servidor, mas por exemplo no seu computador de trabalho. Mantenha-os criptografados usando os próprios comandos do sistema (geralmente uso gpg-zip) ou um aplicativo como keepassx ou similar (verifique se é um aplicativo legítimo, amplamente conhecido e baixado do repositório de pacotes da sua distribuição, se você usa Linux Se estiver baixando da Internet, faça-o no site oficial e verifique a soma de verificação correspondente).

Faça uma leve verificação dos logs diariamente. A Zentyal coleta em seu módulo "Registros" as atividades dos administradores. Certifique-se de ativar esse recurso interessante. Observe que muitos atacantes usam "zappers" (programas que excluem logs para dificultar os administradores) O Zentyal armazena uma cópia dos logs mais interessantes no MySQL e permite que você os consulte convenientemente no webadmin.

Estas são apenas linhas de ação muito básicas. Espero que você ache isso útil.

Uma saudação.
- Do my pigeons bother you passing over your land?
- They block the sun!

G. Guareschi., Don Camillo.,

imortalis

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +1/-0
    • View Profile
Re: Utilizadores a fazerem-se passar por outros servidor de email Zentyal
« Reply #2 on: April 18, 2020, 12:02:05 am »
Boa noite, mas não entendeste o que eu disse.

Não fui hackeado, não existe acesso via web à administração da Zentyal na rede da escola, eu tenho uma rede que só eu utilizo e mesmo assim tenho vpn para administrar a zentyal.

Utilizas Zentyal certo ? Utilizas o SOGo mail server ?

Então é assim, sem o sistema ser comprometido, se fizeres o teste e configurares o Outlook com uma conta IMAP deste género:

Imagina um utilizador criado no Zentyal cujo login é xpto e o dominio do email é teste.org.

Portanto o email é xpto@teste.org, certo ?

Para configurares no Outlook, no campo Nome escreves o que quiseres, no campo email escrevias xpto@teste.org , em login colocavas também o email e a password a que foi definida para a conta.


Então, mas voltado de novo à configuração, em nome colocas o que quiseres, em email colocas xxxx@teste.org em login imap colocas xpto@teste.org e a password, quando envias um email pelo Outlook ele envia pelo email xxx@teste.org e nao pelo verdadeiro.


Imagina, tu podes colocar um email de um colega e ele envia com essa conta de email, para mim isto não devia aocntecer, é um bug no zentyal.


Outro cenário, se fores ao webmail SOGo fazes o login, vais a definições, correio e depois contas imap, ou seja casa utilizador entra no webmail, lá tens a opçao de modificar também o teu email, e consegues enviar na boa.

Entendeste agora o que quero dizer ?





blorente

  • Zentyal Staff
  • Zen Apprentice
  • *****
  • Posts: 22
  • Karma: +72/-0
    • View Profile
Re: Utilizadores a fazerem-se passar por outros servidor de email Zentyal
« Reply #3 on: April 21, 2020, 05:12:26 pm »
This is a mail spoofing attack... to prevent it from the public internet you just need to setup an SPF record in your DNS server. Sorry to hear that attackers are your own users, nothing to do, this isn't a Zentyal issue, I mean, this is a Postfix limitation, indeed an SMTP limitation, you could avoid it using a sieve script.

As you'll understand, this is out of the scope of Zentyal.

Sorry to give you these bad news :(, but this is how Postfix works, anyway, tell me if we could help you with anything else!
Zentyal Server Lead Developer

doncamilo

  • Zen Samurai
  • ****
  • Posts: 478
  • Karma: +165/-1
    • View Profile
Re: Utilizadores a fazerem-se passar por outros servidor de email Zentyal
« Reply #4 on: April 23, 2020, 07:00:00 pm »
 :)

Boa noite, mas não entendeste o que eu disse.

Não fui hackeado, não existe acesso via web à administração da Zentyal na rede da escola, eu tenho uma rede que só eu utilizo e mesmo assim tenho vpn para administrar a zentyal.

Utilizas Zentyal certo ? Utilizas o SOGo mail server ?

Então é assim, sem o sistema ser comprometido, se fizeres o teste e configurares o Outlook com uma conta IMAP deste género:

Imagina um utilizador criado no Zentyal cujo login é xpto e o dominio do email é teste.org.

Portanto o email é xpto@teste.org, certo ?

Para configurares no Outlook, no campo Nome escreves o que quiseres, no campo email escrevias xpto@teste.org , em login colocavas também o email e a password a que foi definida para a conta.


Então, mas voltado de novo à configuração, em nome colocas o que quiseres, em email colocas xxxx@teste.org em login imap colocas xpto@teste.org e a password, quando envias um email pelo Outlook ele envia pelo email xxx@teste.org e nao pelo verdadeiro.


Imagina, tu podes colocar um email de um colega e ele envia com essa conta de email, para mim isto não devia aocntecer, é um bug no zentyal.


Outro cenário, se fores ao webmail SOGo fazes o login, vais a definições, correio e depois contas imap, ou seja casa utilizador entra no webmail, lá tens a opçao de modificar também o teu email, e consegues enviar na boa.

Entendeste agora o que quero dizer ?

Como se le ha dicho, no se trata de un 'bug' (ni de Zentyal, ni de Postfix ni de SMTP) Es una consecuencia de la antiguedad del protocolo SMTP que fue diseñado cuando el foco estaba centrado en la conectividad y la prestación del servicio y no en la seguridad. Ahora bien, tampoco es una limitación de Postfix. De hecho Postfix ofrece al administrador de sistemas ciertas directivas para impedir precisamente éso: http://www.postfix.org/BACKSCATTER_README.html.

El bug más común en la administración de sistemas informáticos es la ignorancia de los administradores. Afortunadamente, casi siempre es reparable.  ;D

Espero que pueda controlar este fenómeno a la mayor brevedad. No desdeñe estudiar las cabeceras de los e-mails falsificados... Seguramente podrá encontrar ahí la información suficiente para dar con los "experimentadores" y pasarlos "bajo la quilla" del código de conducta de su centro o cursar la denuncia oficial si el daño causado lo justifica. 

 :)
- Do my pigeons bother you passing over your land?
- They block the sun!

G. Guareschi., Don Camillo.,